Vad är GDPR artikel 33? En snabb översikt över efterlevnadskrav
GDPR Artikel 33 handlar om en organisations skyldighet att meddela den relevanta rättsliga eller tillsynsmyndighet när en individs rättigheter och friheter har äventyrats, på grund av deras agerande (eller en tredje parts agerande i partnerskap) som personuppgiftsansvarig.
GDPR Artikel 33 Lagtext
EU GDPR-version
Anmälan om personuppgiftsintrång till tillsynsmyndigheten
- Vid ett personuppgiftsintrång ska den personuppgiftsansvarige utan onödigt dröjsmål och, när så är möjligt, senast 72 timmar efter att ha fått kännedom om det, anmäla personuppgiftsintrånget till den tillsynsmyndighet som är behörig i enlighet med artikel 55, om inte personuppgiftsintrång kommer sannolikt inte att leda till en risk för fysiska personers rättigheter och friheter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska den åtföljas av skälen till förseningen.
- Databehandlaren ska underrätta den registeransvarige utan onödigt dröjsmål efter att ha fått kännedom om ett personuppgiftsintrång.
- Den anmälan som avses i punkt 1 ska minst:
- Beskriv karaktären av personuppgiftsintrånget inklusive om möjligt kategorierna och det ungefärliga antalet berörda registrerade samt kategorierna och det ungefärliga antalet personuppgifter som berörs;
- Kommunicera namn och kontaktuppgifter till dataskyddsombudet eller annan kontaktpunkt där mer information kan erhållas;
- Beskriv de troliga konsekvenserna av personuppgiftsintrånget;
- Beskriv de åtgärder som vidtagits eller föreslås vidtas av den registeransvarige för att hantera personuppgiftsintrånget, inklusive, där så är lämpligt, åtgärder för att mildra dess eventuella negativa effekter.
- Om och i den mån det inte är möjligt att lämna informationen samtidigt, får informationen lämnas i etapper utan onödigt ytterligare dröjsmål.
- Den personuppgiftsansvarige ska dokumentera eventuella personuppgiftsintrång, inklusive fakta om personuppgiftsintrånget, dess effekter och de avhjälpande åtgärder som vidtagits. Denna dokumentation ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel.
Storbritanniens GDPR-version
Meddelande om ett personuppgiftsintrång till kommissionären
- Vid ett personuppgiftsintrång ska den personuppgiftsansvarige utan onödigt dröjsmål och, där så är möjligt, senast 72 timmar efter att ha fått kännedom om det, anmäla personuppgiftsintrånget till kommissionären, såvida inte personuppgiftsintrånget sannolikt leda till en risk för fysiska personers rättigheter och friheter. Om anmälan enligt denna punkt inte görs inom 72 timmar, ska den åtföljas av skälen till förseningen.
- Databehandlaren ska underrätta den registeransvarige utan onödigt dröjsmål efter att ha fått kännedom om ett personuppgiftsintrång.
- Den anmälan som avses i punkt 1 ska minst:
- Beskriv karaktären av personuppgiftsintrånget inklusive om möjligt kategorierna och det ungefärliga antalet berörda registrerade samt kategorierna och det ungefärliga antalet personuppgifter som berörs;
- Kommunicera namn och kontaktuppgifter till dataskyddsombudet eller annan kontaktpunkt där mer information kan erhållas;
- Beskriv de troliga konsekvenserna av personuppgiftsintrånget;
- Beskriv de åtgärder som vidtagits eller föreslås vidtas av den registeransvarige för att hantera personuppgiftsintrånget, inklusive, där så är lämpligt, åtgärder för att mildra dess eventuella negativa effekter.
- Om och i den mån det inte är möjligt att lämna informationen samtidigt, får informationen lämnas i etapper utan onödigt ytterligare dröjsmål.
- Den personuppgiftsansvarige ska dokumentera eventuella personuppgiftsintrång, inklusive fakta om personuppgiftsintrånget, dess effekter och de avhjälpande åtgärder som vidtagits. Denna dokumentation ska göra det möjligt för kommissionären att kontrollera efterlevnaden av denna artikel.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Teknisk kommentar
Förutom att noggrant dokumentera alla händelser kring ett intrång måste organisationer överväga sex styrande faktorer när du agerar vid ett dataintrång:
- Definitionen av ett intrång – "ett säkerhetsbrott som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt röjande av eller tillgång till personuppgifter som överförts, lagrats eller på annat sätt behandlats".
- Att upprätthålla akut medvetenhet om ett överträdelse och erhålla en "rimlig grad av granskning" när en misstänkt överträdelse har inträffat.
- Att vara medveten om riskerna för individuella friheter som ett dataintrång kan orsaka, och hur troliga dessa risker uppstår.
- Riskens svårighetsgrad, inklusive.
- Riskkategorin.
- Mängden data som påverkas och storleken på intrånget.
- Hur de kan identifiera eventuella drabbade individer.
- Hur allvarligt överträdelsen är när det gäller påtagliga konsekvenser för alla individer som påverkas av det (och hur sårbara de är).
- Arten av organisationens verksamhet och om det utgör en högre risk (t.ex. finansiella data).
- Om möjligt, behovet av att underrätta eventuella styrande myndigheter inom 72 timmar.
- Behovet av att ange ett giltigt skäl för att kontakta myndigheterna efter att 72 timmar har förflutit, om detta inträffar.
När de underrättar tillsynsmyndigheten måste organisationerna:
- Beskriv överträdelsens karaktär.
- Utse en kontaktpunkt.
- Beskriv sannolikheten för eventuella konsekvenser.
- Beskriv eventuella åtgärder som vidtagits som svar på överträdelsen.
- Ange ytterligare information som är relevant för överträdelsen.
ISO 27701 klausul 6.13.1.1 (Ansvar och förfaranden) och EU GDPR artiklarna 34 (1), 34 (2), 34 (3) (a), 34 (3) (b), 34 (3) (c) och 34 (4)
För att skapa en sammanhållen, välfungerande incidenthanteringspolicy som säkerställer tillgängligheten och integriteten för integritetsinformation under kritiska incidenter, bör organisationer:
- Följ en metod för att rapportera säkerhetshändelser för sekretessinformation.
- Etablera en serie processer som hanterar integritetsinformationssäkerhetsrelaterade incidenter i hela verksamheten, inklusive:
- Administrering.
- Dokumentation.
- Upptäckt.
- Triage.
- Prioritering.
- Analys.
- Kommunikation.
- Utarbeta en incidentresponsprocedur som gör det möjligt för organisationen att bedöma, reagera på och lära av incidenter.
- Se till att incidenter hanteras av utbildad och kompetent personal som drar nytta av pågående arbetsplatsutbildning och certifieringsprogram
Personal som är involverad i incidenter med integritetsinformationssäkerhet bör förstå:
- Tiden det borde ta att lösa en incident.
- Eventuella konsekvenser.
- Händelsens svårighetsgrad.
När personalen hanterar säkerhetshändelser för integritetsinformation bör personalen:
- Bedöm händelser i enlighet med strikta kriterier som validerar dem som godkända incidenter.
- Kategorisera sekretessinformationssäkerhetshändelser i 5 underämnen:
- Övervakning (se ISO 27002 Kontrollerna 8.15 och 8.16).
- Detektering (se ISO 27002 Kontroll 8.16).
- Klassificering (se ISO 27002 Kontroll 5.25).
- Analys.
- Rapportering (se ISO 27002 Kontroll 6.8).
- När organisationer löser incidenter med integritetsinformationssäkerhet bör de:
- Reagera och eskalera frågor (se ISO 27002 Kontroll 5.26) i enlighet med typen av incident.
- Aktivera krishantering och affärskontinuitetsplaner.
- Påverka en hanterad återhämtning från en incident som mildrar operativa och/eller ekonomiska skador.
- Säkerställ en noggrann kommunikation av incidentrelaterade händelser till all relevant personal.
- Delta i samarbete (se ISO 27002 kontroller 5.5 och 5.6).
- Logga alla incidenthanterade aktiviteter.
- Vara ansvarig för hanteringen av incidentrelaterad bevismaterial (se ISO 27002 Kontroll 5.28).
- Genomför en grundlig orsaksanalys för att minimera risken för att incidenten ska hända igen, inklusive föreslagna ändringar av eventuella processer.
Rapporteringsaktiviteter bör centreras kring fyra nyckelområden:
- Åtgärder som måste vidtas när en informationssäkerhetshändelse inträffar.
- Incidentformulär som registrerar information under en incident.
- End-to-end återkopplingsprocesser till all relevant personal.
- Incidentrapporter som beskriver vad som har inträffat när en incident har lösts.
Stöder ISO 27002 kontroller
- ISO 27002 5.25
- ISO 27002 5.26
- ISO 27002 5.5
- ISO 27002 5.6
- ISO 27002 6.8
- ISO 27002 8.15
- ISO 27002 8.16
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 klausul 6.13.1.5 (Response to Information Security Incidents) och EU GDPR artiklarna 34 (1) och 34 (2)
Organisationer bör se till att incidenter med integritetsinformationssäkerhet hanteras av ett dedikerat tekniskt team med kompetens och resurser för att påverka en snabb lösning (se ISO 27002 Kontroll 5.24).
Organisationer bör:
- innehåller eventuella integritetsrelaterade hot som härrör från det ursprungliga problemet.
- samla in en mängd bevis under hela resolutionsprocessen.
- inkludera eskalering, BUDR-aktiviteter och kontinuitetsplanering i alla rekonstruktionsarbeten (se ISO 27002 kontroller 5.29 och 5.30).
- logga all incidentrelaterad aktivitet.
- se till att personalen arbetar utifrån "need to know"-basis när de hanterar incidenter med integritetsinformation.
- vara ständigt uppmärksam på deras ansvar gentemot sina kunder och externa organisationer när de kommunicerar incidenter med integritetsinformation och dataintrång.
- nära incidenter till en stel uppsättning lösningskriterier.
- utföra kriminaltekniska analyser (se ISO 27002 Kontroll 5.28), vid behov.
- försöka fastställa den bakomliggande orsaken till en incident, när den väl har lösts (se ISO 27002 Kontroll 5.27).
- vidta korrigerande åtgärder på alla associerade processer, kontroller, policyer och procedurer för att stärka organisatoriskt integritetsskydd när en incident har lösts.
Stöder ISO 27002 kontroller
- ISO 27002 5.24
- ISO 27002 5.27
- ISO 27002 5.28
- ISO 27002 5.29
- ISO 27002 5.30
Index över länkade EU GDPR-artiklar, ISO 27701-klausuler och ISO 27002-kontroller
| GDPR-artikel | ISO 27701 klausul | ISO 27002 kontroller |
|---|---|---|
| EU GDPR artiklarna 34 (1), 34 (2), 34 (3) (a), 34 (3) (b), 34 (3) (c) och 34 (4) | ISO 27701 6.13.1.1 |
ISO 27002 5.25 ISO 27002 5.26 ISO 27002 5.5 ISO 27002 5.6 ISO 27002 6.8 ISO 27002 8.15 ISO 27002 8.16 |
| EU GDPR artiklarna 34 (1) och 34 (2) | ISO 27701 6.13.1.5 |
ISO 27002 5.24 ISO 27002 5.27 ISO 27002 5.28 ISO 27002 5.29 ISO 27002 5.30 |
Hur ISMS.online hjälper
Ett brott mot GDPR kan resultera i betydande böter, vilket gör det till en av världens tuffaste integritets- och säkerhetsbestämmelser. Som ett resultat innebär det att organisationer måste skydda personuppgifter i "rimlig" omfattning.
Men här är de goda nyheterna.
På en säker, alltid på plats gör ISMS.online det enkelt för dig att gå direkt in i GDPR-efterlevnad och visa en skyddsnivå som sträcker sig utöver "rimligt".
Vi gör datakartläggning till en enkel uppgift. Genom att lägga till din organisations information i vårt förkonfigurerade dynamiska verktyg för registrering av bearbetningsaktivitet kan du enkelt spela in och granska allt.
Om det värsta händer är du redo.
Med våra verktyg kan du planera, kommunicera, dokumentera och lära dig av varje intrång.
Ta reda på mer av boka en kort 30 minuters demo.
